Manuel Statik Analiz — DiceLoader | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 61806a90c8fb132c9e3d4b7a1f5e2c8d6b3a9f4e7c1d5b8a2f6e9c3d7b4a1f5e8 |
|---|---|
| Dosya Adı | e345rt.vbs (Klavye Rastgele Tuş İsim!) |
| Boyut | 237.360 byte (231KB) |
| String Sayisi | 4.463 |
e345rt.vbs: Klavye Rastgele Tuş Dosya Adı
e345rt.vbs -- "e345rt" = klavyede art arda basılan tuşlar! (e, 3, 4, 5, r, t) -- Anlamsız, benzersiz, hafızada kalmayan bir isim -- ".vbs" = VBScript: Windows'ta wscript.exe ile çalışır -- Klavye karmaşa adı → her sample için farklı → siyah liste atlatma -- Teslimat: phishing e-postası veya drive-by download
bottomautomobilemean, pilotshotluck, tropicalnosort: Üç Kelime Birleştirme Obfuskasyonu
SEMANTİK OBFUSKASyon: Anlamlı ama anlamsız üçlü İngilizce kelime birleştirmesi fonksiyon isimleri!
Public Function bottomautomobilemean()
bottomautomobilemean = "AAAKKAcAAAZy8QgAcHL9..."
Public Function pilotshotluck()
Public Function tropicalnosort()
Public Function shownbroughttraffic()
Public Function chosebrassgather()
Public Function tapeseriesskill()
Public Function noddedcorrectlygentle()
Public Function diameterliquidsweet()
Public Function holdfifthfigure()
Public Function herbreakfastplain()
Public Function wayorganizationchange()
Public Function grewridingheld()
Public Function getthereordinary()
Public Function breadflytank()
Public Function wasteshopsurrounded()
Public Function enddealthem()
-- Obfuskayon tekniği: ÜÇLÜ İNGİLİZCE KELİME BİRLEŞTİRME
- "bottom" + "automobile" + "mean" = semantik anlamsız birleşim
- "pilot" + "shot" + "luck" = her fonksiyon farklı üçlü
- "tropical" + "no" + "sort" = sözlükteki gerçek kelimeler
-- Neden bu teknik?
- AV/sandbox: fonksiyon isimleri "şüpheli" değil → sinyal yok
- İnsan analistler: isimleri takip etmek zorlaşıyor
- Regex tabanlı tespit: önemsiz kelimeler filtreden geçiyor
-- Her fonksiyon: tek bir BASE64 parçası döndürüyor
- Parçalar birleştirilince: .NET BinaryFormatter payload!
- "AAEAAAD/////" = BinaryFormatter başlangıç imzası
- "AAAKKAcAAAZy8QgAcHL9" = ikinci parça base64
-- Yüzlerce parça → runtime'da birleştirilip çalıştırılıyor
Base64 .NET BinaryFormatter Payload
finallyfactoryuncle = "AAEAAAD/////AQAAAAAAAA..." -- "AAEAAAD/////" = .NET BinaryFormatter serilaştırma başlangıcı -- BinaryFormatter: .NET nesnelerini ikili biçimde serialize eder -- Payload: VBS'in içine gizlenmiş .NET assembly veya nesne -- Bu teknik: antivirus'ü atlatmak için payload'ı parçalara böler
IOC
| SHA256 | 61806a90c8fb132c9e3d4b7a1f5e2c8d6b3a9f4e7c1d5b8a2f6e9c3d7b4a1f5e8 |
|---|---|
| Dosya Adı | e345rt.vbs |
DiceLoader — Malware Profile
DiceLoader VBS. e345rt.vbs keyboard random name. Three-word semantic function obfuscation (bottomautomobilemean pilotshotluck). Base64 .NET BinaryFormatter payload.
Malware Type
Loader
Programming Language
VBScript/.NET
C2 Protocol
HTTPS
Target Systems
Kurumsal
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — DiceLoader
# SHA256
61806a90c8fb132c9e3d4b7a1f5e2c8d6b3a9f4e7c1d5b8a2f6e9c3d7b4a1f5e
| Type | Value | Note |
|---|---|---|
| sha256 | 61806a90c8fb132c9e3d4b7a1f5e2c8d6b3a9f4e7c1d5b8a2f6e9c3d7b4a1f5e |